Задание: Найдите ошибки в представленном документе
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Содержание
1. Общие положения
2. Порядок доступа к конфиденциальной информации
3. Работа с криптографическими системами
4. Физическая безопасность
5. Разграничение прав доступа к программному обеспечению и системам хранения данных
6. Работа в глобальной сети Интернет
7. Дублирование, резервирование и раздельное хранение конфиденциальной информации
Структура Компании представляет собой:
- Руководство Компании;
- Отдел Защиты информации;
- Отдел информационных технологий;
- Офисный центр;
- Службу безопасности Компании;
- Пост охраны.
1. Общие положения
1.1 Настоящая Политика разработана в соответствии с действующим законодательством, нормативными актами и соотносимыми с ними положениями внутренних документов Компании. Она регламентирует порядок организации с целью обеспечения сохранности информации и ее безопасности в Компании, как в осуществлении текущей деятельности, так и в обозримом будущем.
1.2. Целями настоящей Политики являются:
- сохранение конфиденциальности критичных информационных ресурсов;
-
-
-
-
-
1.3. К конфиденциальной информации Компании относится информация: - относящаяся к коммерческой тайне в соответствии Федеральным законом от 29.07.2004 № 89-ФЗ "О коммерческой тайне"; - относящаяся к персональным данным в соответствии с Федеральным законом от 27.07.2016 № 152-ФЗ "Об информации, информационных технологиях и защите информации". Общедоступная информация защите не подлежит, т.к. ее потеря не нанесет ущерб конфиденциальности.
2. Порядок доступа к конфиденциальной информации
2.1. В целях обеспечения защиты информации в Компании, устанавливается следующий порядок допуска к работе с конфиденциальными источниками: Решение о доступе работника к определенному разделу конфиденциальной информации принимает системный администратор Компании. Отдел информационных технологий обеспечивает защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому. Доступ к компьютерной сети Компании осуществляется только с персональным паролем. Первоначальный пароль пользователя формируется системным администратором и не меняется во избежание забывания его пользователем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается. Имя пользователя и пароль на вход в АРМ должны быть одинаковы. Категорически запрещается снимать несанкционированные копии с носителей конфиденциальной информации, разрешено только знакомить с содержанием электронной информации лиц, не допущенных к этому. 2.2 Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавиши и после выхода из режима "Экранной заставки". Для установки режимов защиты пользователь должен скачать программу с общедоступных ресурсов сети Интернет. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. 2.3 Работникам Компании запрещается: - - - - - -
3. Работа с криптографическими системами
3.2. Секретные ключи электронно-цифровых подписей и шифрования могут храниться в сейфах или в других местах под ответственность лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям секретных ключей и шифрования должен быть обеспечен.
3.3. Выборочно разрешено: - выводить секретные ключи и шифрования на дисплей компьютера или принтер; - устанавливать в компьютер носитель секретных ключей и шифрования в непредусмотренных режимах функционирования; - записывать на носитель секретных ключей и шифрования постороннюю информацию.
3.4. При компрометации секретных ключей, шифрования и прочей электронной информации в случае существования угрозы утечки информации Отделом информационных технологий принимаются меры для прекращения любых операций с использованием этих ключей и прочей информации; принимаются меры для смены ключей и шифрования, паролей. По факту компрометации организуется уведомление Руководства Компании.
4. Физическая безопасность
4.1. Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных, телефонная станция, основной маршрутизатор, файервол) находятся внутри офисного центра, доступ в который разрешен работникам, имеющими соответствующее разрешение от Руководства Компании.
4.2. Вход в помещение осуществляется через металлическую дверь, оснащенную замками (не менее двух) и переговорным устройством. Копии ключей находятся у вахтера.
4.3. Помещение оборудовано принудительной вентиляцией и пожарной сигнализацией. Вход в помещение контролируется системой видео наблюдения с выходом на мониторы установленные внутри помещения.
4.4. Ключевые дискеты, пароли и прочая конфиденциальная информация хранится в сейфах. Запасные ключи от сейфов хранятся у системного администратора.
4.5. Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находиться в помещении в связи с выполнением своих должностных обязанностей. 4.6. Доступ в помещение в неурочное время или в выходные и праздничные дни осуществляется с устного разрешения Руководства компании
5. Разграничение прав доступа к программному обеспечению и системам хранения данных
5.1. Для входа в компьютерную сеть Компании работник должен ввести имя и пароль. Не допускается режимы беспарольного (гостевого) доступа к какой-либо конфиденциальной информации.
5.2. В целях защиты конфиденциальной информации Компании организационно и технически разделяются подразделения Компании, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности, секретности и смысловой направленности). Данная задача решается с использованием сетевой операционной системы, где в целях обеспечения защиты данных доступ и права пользователей ограничивается персональными каталогами. Права назначаются в соответствии с производственной необходимостью, определяемой начальником подразделения.
5.3. Параметры входа в сеть, имя и пароль, пользователем не разглашаются. Копии на бумажном носителе сдаются системному администратору. В случае компрометации пароля пользователь должен незамедлительно самостоятельно поменять пароль.
5.4. При работе с АРМ имя пользователя и пароль должны быть отличны от имени пользователя и пароля при входе общую компьютерную сеть Компании. Пароль должен быть не менее восьми символов. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями. Все действия пользователя, работающего с АРМ, протоколируются. Журнал операций храниться не менее шести месяцев.
6. Работа в глобальной сети Интернет
6.2. Работа работников Компании с электронной корпоративной почтой сети Интернет допускается на основании отдельного разрешения от Руководства Компании.
6.3. При работе с сетью Интернет работникам разрешено: Скачивать и устанавливать на компьютер программное обеспечение. Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям. Осуществлять подписку на рассылку информации непроизводственного характера. Сообщать адрес электронной почты в непроизводственных целях. Пользоваться различными Интернет-пейджерами. Использовать Интернет для получения материальной выгоды или непроизводственных целях, в том числе осуществляя торговлю через Интернет.
7. Дублирование, резервирование и раздельное хранение конфиденциальной информации
7.1. В целях защиты конфиденциальной информации от преднамеренного или же непреднамеренного ее уничтожения, фальсификации или разглашения обеспечить ежедневное обязательное резервирование всей информации, имеющей конфиденциальный характер. Дублирование информации с использованием различных физических и аппаратных носителей.
7.2. Ответственность за хранение и резервирование информации в электронном виде возложить на пользователей ресурсов.
Нужны ответы
ОтветитьУдалитьдля проверки нужны ответы
ОтветитьУдалить